Курс AZ-500T00 Технології безпеки Microsoft Azure

1. Безпечна ідентифікація та доступ

1.1 Управління контролем безпеки для ідентифікації та доступу

• Що таке Microsoft Entra ID
• Надійні​ користувачі Microsoft Entra​
• Створення нового користувача в Microsoft Entra ID
• Безпека групи Microsoft Entra
• Рекомендація щодо використання зовнішніх ідентифікаторів
• Безпечні​ зовнішні​ ідентифікатори​
• Використання захисту ідентифікаційних даних Microsoft Entra
• Microsoft Entra Connect
• Microsoft Entra Cloud Sync
• Параметри автентифікації
• Синхронізація хешу пароля з Microsoft Entra ID
• Наскрізна автентифікація Microsoft Entra
• Федерація з Microsoft Entra ID
• Автентифікація Microsoft Entra
• Впровадження​ багатофакторної​ автентифікації (MFA)
• Kerberos автентифікація
• Протокол аутентифікації New Technology Local Area Network Manager (NTLM)
• Варіанти автентифікації без пароля для Microsoft Entra ID
• Реалізація аутентифікації без пароля
• Реалізація захисту пароля​
• Технологія єдиного входу Microsoft Entra ID
• Впровадження технології єдиного входу (SSO)
• Інтеграція технології єдиного входу (SSO) та Identity providers
• Введення в перевірений ідентифікатор Microsoft Entra
• Налаштування перевіреного ідентифікатора Microsoft Entra
• Рекомендації та застосування сучасних протоколів аутентифікації
• Групи керування Azure
• Налаштування дозволу ролей Azure для груп керування, передплат, груп ресурсів та ресурсів
• Управління доступом на основі ролей Azure
• Вбудовані ролі Azure
• Призначення дозволів ролей Azure для груп керування, підписок, груп ресурсів та ресурсів
• Вбудовані ролі Microsoft Entra
• Призначення вбудованих ролей у Microsoft Entra ID
• Контроль доступу на основі ролей Microsoft Entra
• Створення та призначення користувацької ролі в Microsoft Entra ID
• Управління дозволами Microsoft Entra
• Застосування та керування дозволами Microsoft Entra
• Модель нульової довіри (Zero Trust security)
• Керування привілейованими посвідченнями Microsoft Entra
• Налаштування управління привілейованими ідентифікаторами
• Управління ідентифікатором Microsoft Entra
• Керування життєвим циклом ідентифікації
• Робочі процеси життєвого циклу
• Управління правами
• Делегування та ролі в управлінні правами
• Огляд доступу
• Налаштування керування ролями та огляд доступу за допомогою Microsoft Entra ID governance
• Впровадження політик умовного доступу

1.2 Керування доступом до програми Microsoft Entra

• Керування доступом до корпоративних програм у Microsoft Entra ID, включаючи надання дозволів OAuth
• Управління​ реєстрації їй додатків в ідентифікаторі Microsoft Entra
• Налаштування області дозволів реєстрації додатків
• Управління дозволом на реєстрацію програми
• Управління та використання service principals
• Управління керованими посвідченнями для ресурсів Azure
• Рекомендації​ по використанню та налаштуванню Microsoft Entra​​ Application Proxy, включаючи автентифікацію

2. Безпечна мережева взаємодія

2.1 Планування та реалізація безпеки віртуальних мереж

• Microsoft Cloud Security Benchmark: захист даних, ведення журналу та виявлення загроз, а також безпека мережі
• Що таке віртуальна мережа Azure
• Azure Virtual Network Manager
• Планування та впровадження груп безпеки мережі (NSG) та груп безпеки додатків (ASG)
• Планування та реалізація User-Defined Routes (UDRs)
• Планування та реалізація пірингу або шлюзу віртуальної мережі
• Планування та реалізація віртуальної глобальної мережі, включаючи захищений віртуальний хаб
• Безпечне підключення VPN, включаючи з'єднання «точка-сайт» і «сайт-сайт»
• Шифрування Azure
• Що таке шифрування віртуальної мережі Azure
• Azure ExpressRoute
• Впровадження​ шифрування через ExpressRoute​
• Налаштування параметрів фаєрволу на ресурсах Azure
• Контроль безпеки мережі за допомогою Network Watcher

2.2 Планування та реалізація безпеки для приватного доступу до ресурсів Azure

• Планування та впровадження кінцевих точок обслуговування віртуальної мережі
• Планування та впровадження приватних кінцевих точок
• Планування та реалізація послуг Private Link
• Планування та реалізація мережної інтеграції для Azure App Service та Azure Functions
• Планування та реалізація конфігурацій мережевої безпеки для середовища служби додатків (ASE)
• Планування та реалізація конфігурацій мережної безпеки для керованого екземпляра Azure SQL

2.3 Планування та реалізація безпеки для публічного доступу до ресурсів Azure

• Планування та впровадження протоколу Transport Layer Security (TLS) для програм, включаючи службу додатків Azure та керування API
• Планування, реалізація та управління брандмауером Azure, диспетчером брандмауерів Azure та політиками брандмауера
• Планування та реалізація Azure Application Gateway
• Планування та впровадження Web Application Firewall (WAF)
• Планування та реалізація Azure Front Door, включаючи мережу доставки контенту (CDN)
• Рекомендація, коли слід використовувати Azure DDoS Protection Standard

3. Безпечні обчислення, зберігання та бази даних

3.1 Планування та реалізація розширеної безпеки для обчислень

• Планування та реалізація віддаленого доступу до загальнодоступних кінцевих точок, Azure Bastion та оперативного (JIT) доступу до віртуальних машин (VM)
• Що таке Azure Kubernetes Service
• Налаштування​ мережевої ізоляції для Azure Kubernetes Service (AKS)
• Захист та моніторинг служби Azure Kubernetes
• Налаштування аутентифікації для служби Azure Kubernetes
• Налаштування безпеки для Azure Container Instances (ACI)
• Налаштування безпеки для Azure Container Apps (ACA)
• Управління доступом до Azure Container Registry (ACR)
• Налаштування шифрування диска, Azure Disk Encryption (ADE), шифрування як хост та конфіденційне шифрування диска
• Рекомендація щодо конфігурації безпеки для Azure API Management

3.2 Планування та реалізація заходів безпеки для зберігання

• Azure Storage
• Налаштування​ контролю доступу для облікових записів зберігання
• Управління життєвим циклом ключів доступу до облікового запису зберігання
• Вибір та налаштування відповідного методу доступу до файлів Azure
• Вибір та налаштування відповідного методу доступу до Azure Blobs
• Вибір і налаштування відповідного методу доступу до таблиць Azure
• Вибір та налаштування відповідного методу доступу до Azure Queues
• Вибір та налаштування відповідного методу захисту від загроз безпеки даних, включаючи м'яке видалення, резервне копіювання, керування версіями та незмінне сховище
• Налаштування функції "Принеси свій ключ" (BYOK)
• Увімкнення подвійного шифрування на рівні інфраструктури сховища Azure

3.3 Планування та реалізація безпеки для бази даних Azure SQL та керованого екземпляра Azure SQL

• Безпека бази даних SQL Azure та керованого екземпляра SQL
• Увімкнення аутентифікації бази даних Microsoft Entra
• Включення та контроль аудиту бази даних
• Визначення варіантів використання порталу керування Microsoft Purview
• Реалізація класифікації конфіденційної інформації за допомогою порталу керування Microsoft Purview
• Планування та реалізація динамічної маски
• Використання прозорого шифрування даних
• Рекомендація, коли слід використовувати Azure SQL Database Always Encrypted
• Впровадження брандмауера бази даних Azure SQL

4. Захист Azure за допомогою Microsoft Defender для хмари та Microsoft Sentinel

4.1 Впровадження та контроль дотримання політик управління хмарою

• Тест безпеки хмари Microsoft: доступ, дані, ідентифікація, мережа, кінцева точка, управління, відновлення, інциденти та управління вразливістю
• Керування Azure
• Створення, призначення та розуміння політики та ініціативи безпеки в Azure Policy
• Azure Blueprints
• Налаштування параметрів безпеки за допомогою Azure Blueprint
• Розгортання захищених інфраструктур із використанням цільової зони
• Azure Key Vault
• Безпека Azure Key Vault
• Автентифікація Azure Key Vault
• Створення та налаштування Azure Key Vault
• Рекомендація, коли слід використовувати Hardware Security Модулі (HSM)
• Налаштування доступу до Key Vault, включаючи політики доступу до сховища та управління доступом на основі ролей Azure
• Управління сертифікатами, секретами та ключами
• Налаштування зміни ключів​​
• Налаштування резервного копіювання та відновлення сертифікатів, секретів та ключів
• Впровадження засобів контролю безпеки для захисту резервних копій
• Впровадження заходів безпеки для керування активами

4.2 Управління безпекою за допомогою Microsoft Defender для хмари

• Впровадження Microsoft Defender для хмари
• Виявлення та усунення ризиків безпеки за допомогою Microsoft Defender для Cloud Secure Score та Inventory
• Оцінка відповідності фреймворкам безпеки та Microsoft Defender для хмари
• Додавання галузевих та нормативних стандартів у Microsoft Defender для хмари
• Додавання ініціатив користувача Microsoft Defender для хмари
• Підключення гібридних хмарних та багатохмарних середовищ до Microsoft Defender для хмари
• Застосування Microsoft Defender External Attack Surface Management (Defender EASM)

4.3 Налаштування та керування захистом від загроз за допомогою Microsoft Defender for Cloud

• Виявлення загроз конфіденційним даним
• Розгортання Microsoft Defender для сховища
• Увімкнення налаштування вбудованої політики Azure
• Налаштування планів Microsoft Defender для серверів, баз даних та сховищ
• Впровадження та керування вразливістю Microsoft Defender
• Робочий простір Log Analytics
• Керування збереженням даних у робочій області Log Analytics
• Розгортання агента Azure Monitor
• Збір даних за допомогою Azure Monitor Agent
• Правила збору даних (DCR) у Azure Monitor
• Перетворення у правилах збору даних (DCR)
• Моніторинг подій безпеки мережі та даних про продуктивність шляхом налаштування правил збору даних (DCR) у Azure Monitor
• Підключення підписок Azure
• Своєчасний доступ до машин
• Забезпечення своєчасного доступу
• Безпека контейнерів у Microsoft Defender
• Управління факторами загроз Кубернетес
• Архітектура Defender для контейнерів
• Налаштування компонентів Microsoft Defender для контейнерів
• Microsoft Defender для безпеки DevOps у хмарі
• Підтримка безпеки DevOps та попередні умови
• Стан безпеки середовища DevOps
• Підключення лабораторного середовища GitHub до Microsoft Defender для хмари
• Налаштування Microsoft Security DevOps GitHub action
• Захист від загроз ШІ в Microsoft Defender для хмари
• Включення захисту від загроз для робочих навантажень ШІ Defender для хмари
• Отримання контексту додатків та кінцевих користувачів для оповіщень ШІ

4.4 Налаштування та управління рішеннями з моніторингу та автоматизації безпеки

• Керування оповіщеннями безпеки та реагування на них у Microsoft Defender for Cloud
• Налаштування автоматизації робочого процесу за допомогою Microsoft Defender for Cloud
• Плани зберігання журналів у Microsoft Sentinel
• Оповіщення та інциденти від Microsoft Sentinel
• Налаштування з'єднувачів даних у Microsoft Sentinel
• Включення правил аналітики до Microsoft Sentinel
• Налаштування автоматизації у Microsoft Sentinel
• Автоматизація реагування на загрози за допомогою Microsoft Sentine